1
Download 認証報告書 - IPA 独立行政法人 情報処理推進機構
Transcript
CRP-C0191-01 認証報告書 原 紙 独立行政法人 情報処理推進機構 理事長 西垣 浩司 押印済 評価対象 申請受付日(受付番号) 平成19年8月6日(IT認証7162) 認証番号 C0191 認証申請者 エヌ・ティ・ティ・コミュニケーションズ株式会社 TOEの名称 アダプタ対応型高速版住基カードソフトウェア TOEのバージョン 2.00 PP適合 なし 適合する保証パッケージ EAL4及び追加の保証コンポーネントAVA_MSU.3 開発者 日本電信電話株式会社 シャープ株式会社 評価機関の名称 株式会社電子商取引安全技術研究所 評価センター 上記のTOEについての評価は、以下のとおりであることを認証したので報告します。 平成20年10月30日 セキュリティセンター 情報セキュリティ認証室 技術管理者 鈴木 秀二 評価基準等: 「ITセキュリティ評価及び認証制度の基本規程」で定める下記の規格に 基づいて評価された。 ① Common Criteria for Information Technology Security Evaluation Version 2.3 ② Common Methodology for Information Technology Security Evaluation Version 2.3 評価結果:合格 「アダプタ対応型高速版住基カードソフトウェア」は、独立行政法人 情報処理推進機構が定める ITセキュリティ認証申請手続等に関する規程に従い、定められた規格に基づく評価を受け、所定 の保証要件を満たした。 CRP-C0191-01 目次 1 2 全体要約 ..................................................................................................................................1 1.1 はじめに...........................................................................................................................1 1.2 評価製品...........................................................................................................................1 1.2.1 製品名称....................................................................................................................1 1.2.2 製品概要....................................................................................................................1 1.2.3 TOEの範囲と動作概要..............................................................................................2 1.2.4 TOEの機能................................................................................................................3 1.3 評価の実施 .......................................................................................................................5 1.4 評価の認証 .......................................................................................................................6 1.5 報告概要...........................................................................................................................6 1.5.1 PP適合 ......................................................................................................................6 1.5.2 EAL ..........................................................................................................................6 1.5.3 セキュリティ機能強度 ..............................................................................................6 1.5.4 セキュリティ機能 .....................................................................................................6 1.5.5 脅威...........................................................................................................................6 1.5.6 組織のセキュリティ方針...........................................................................................8 1.5.7 構成条件....................................................................................................................9 1.5.8 操作環境の前提条件..................................................................................................9 1.5.9 製品添付ドキュメント ............................................................................................10 評価機関による評価実施及び結果......................................................................................... 11 2.1 評価方法......................................................................................................................... 11 2.2 評価実施概要.................................................................................................................. 11 2.3 製品テスト ..................................................................................................................... 11 2.3.1 開発者テスト........................................................................................................... 11 2.3.2 評価者テスト...........................................................................................................14 2.4 評価結果.........................................................................................................................17 3 認証実施 ................................................................................................................................18 4 結論 .......................................................................................................................................19 4.1 認証結果.........................................................................................................................19 4.2 注意事項.........................................................................................................................27 5 用語 .......................................................................................................................................28 6 参照 .......................................................................................................................................30 CRP-C0191-01 1 全体要約 1.1 はじめに この認証報告書は、「アダプタ対応型高速版住基カードソフトウェア バージョ ン2.0」(以下「本TOE」という。)について株式会社電子商取引安全技術研究所 評価センター(以下「評価機関」という。)が行ったITセキュリティ評価に対し、 その内容の認証結果を申請者であるエヌ・ティ・ティ・コミュニケーションズ株式 会社に報告するものである。 本認証報告書の読者は、本書と共に、対応するSTや本TOEに添付されるマニュ アル(詳細は「1.5.9 製品添付ドキュメント」を参照のこと)を併読されたい。前 提となる環境条件、対応するセキュリティ対策方針とその実施のためのセキュリ ティ機能要件、保証要件及びそれらの要約仕様は、STにおいて詳述されている。ま た、動作条件及び機能仕様は本TOEに添付されるドキュメントに詳述されている。 本認証報告書は、本TOEに対して、適合の保証要件に基づく認証結果を示すもの であり、個別のIT製品そのものを認証するものではないことに留意されたい。 注:本認証報告書では、ITセキュリティ評価及び認証制度が定めるITセキュリ ティ評価基準、ITセキュリティ評価方法の各々をCC、CEMと総称する。 1.2 評価製品 1.2.1 製品名称 本認証が対象とする製品は以下のとおりである。 名称: アダプタ対応型高速版住基カードソフトウェア バージョン: 2.0 開発者: 日本電信電話株式会社 シャープ株式会社 1.2.2 製品概要 TOEは、住基ネットにおいて使用される住基カードに搭載される組み込みソフト ウェアであり、住基カードに記録されるデータや搭載されるアプリケーション(以下、 AP と表記)を管理するために利用され、住基カードとしての要求仕様を満足するも のである。 TOEは住基カードに搭載され、カード発行者からカード所有者への安全な交付、 カード所有者の本人確認、カードに格納されたカード所有者の情報に対する保護を 実現することを目的とする。住基カードは、住民票の写しの広域交付、転入転出の 1 CRP-C0191-01 特例及び本人確認の業務に利用される。住基カードは、市町村の窓口に設置された 住基ネットへ接続された市町村システムの業務用端末に接続されている住基カー ド用のカードリーダ・ライタに挿入され、カードリーダ・ライタを通じて市町村の 業務用端末と通信して各業務を実現する。TOEは、上記のような要求を実現する際 に、利用者の認証、アクセス制御、暗号化通信、アプリケーションの独立性確保な どのセキュリティ機能を提供することを目的とする。 1.2.3 TOEの範囲と動作概要 TOE を構成するソフトウェア及び周辺のハードウェアとソフトウェアの関係を 図1-1に示す。 住基ネット 住基カード AP 住基 AP CD 管理部 AP AP 市町村システム SD AP 管理部 ライブラリ 業務ソフトウェア 市町村システム APE(アプリケーション動作環境) アダプタ ソフトウェア カード IC チップ(ハードウェア) リーダ・ライタ ハードウェア 業務用端末 市町村システム 図1-1 TOEの構成 TOEは網掛けで示した部分のソフトウェアであり、住基カード内に埋め込まれた IC チップ上のメモリに組み込まれる。住基カードはカードリーダ・ライタを通じ て業務用端末に接続され、業務用端末は住基ネットに接続される。住基ネットには 同様にして各市町村のシステムが接続されている。住基カードは、ICチップの通信 機能によりカードリーダ・ライタを通じて業務用端末から送信されたコマンドメッ セージを受け取り、コマンドメッセージの内容に基づいた処理を実施し、その結果 をレスポンスメッセージとして返却する。業務用端末上では業務ソフトウェアと呼 ばれるソフトウェアが動作し、住基ネットに必要な業務を処理する。業務用端末上 には更にアダプタと呼ばれるソフトウェアが存在し、住基仕様で規定されたコマン ド仕様に基づき住基カードの実装に対応したコマンドメッセージを生成する。アダ プタは業務ソフトウェアから呼び出され、製造者毎に異なる住基カードの実装の差 を吸収して共通のコマンド仕様で住基カードを利用できるようにする。なお、TOE 2 CRP-C0191-01 のAP管理部にはSDと呼ばれる領域が創生されてその上にAPが搭載可能であるが、 搭載されたAPはTOEの範囲外である。 1.2.4 TOEの機能 図1-1に示されたAPE、ライブラリ、CD管理部、AP管理部及び住基APのモジュー ルで実現されるTOEの機能を、以下に【TOEのセキュリティ機能】及び【TOEのセ キュリティ以外の機能】に分けて記述する。 【TOEのセキュリティ機能】 1.識別と認証機能 (1) 識別機能 TOEは、セレクトコマンドにより選択されるモジュールを識別する。選択されて カード上で動作しているモジュールをプロセスと呼び、プロセスは利用者を代行し て動作し、受信したコマンドメッセージは現在選択されているプロセスへ引き渡さ れる。 (注釈) 本STにおいて、モジュールはカード上に搭載されたソフトウェアのプログラ ム単位での構成要素を表し、プロセスはモジュールがサブジェクトとして動作して いる状態の時のプログラムを表す。CD管理部、住基AP及びAP管理部の各モジュー ルが動作した場合、それぞれCD管理プロセス、住基APプロセス及びAP管理プロセ スとなる。 (2) PIN照合機能 TOEは、外部から送られたPINをあらかじめカード内に設定されたデータと照合し、 TOE関係者(カード所有者、カード発行者)を認証する。 (3) 外部認証機能 TOEは、生成した乱数を業務用端末へ送り、業務用端末は対応する秘密鍵で乱数を 暗号化し返却し、TOEはあらかじめカード内に設定された公開鍵、または検証され た公開鍵証明書の公開鍵を使用して復号し、業務用端末を認証する。 2.アクセス管理機能 (1) ファイル管理機能 TOEは、ICチップ内のFlashメモリ上にデータを格納するための各ファイル領域の 確保及び管理を行い、ファイルに設定されたデータへのアクセスを制御する。 (2) アプリケーション管理機能 TOEは、APを管理するための領域として、APを搭載するSDと呼ばれる領域を有す る。TOEは、SDにおいてAPを管理し、アクセス制御に基づきAPの搭載と選択と削 除を管理する。 (3) 鍵管理機能 TOEは、TOEの管理するICチップ内の鍵格納用ファイルへの鍵データの設定、更 3 CRP-C0191-01 新を行う。 3.暗号通信機能 (1) セキュアメッセージング機能 TOEは、外部との通信にセキュアメッセージング機能として送信データの暗号化と 受信データの復号を行う。ICカードLSIが持つDES暗号処理のための演算機能によ り高速な動作を実現している。 4.実行管理機能 (1) 認証ステータス管理機能 TOEは、PIN照合と外部認証の結果を認証ステータスとして管理する。CD管理部、 AP管理部及び住基APのいずれかのモジュールがカレントプロセスとして選択され た際に認証ステータスをクリアまたは維持し、各プロセスにおいてPIN照合及び外 部認証が行われた際に認証ステータスを更新する。 (2) 状態遷移管理機能 TOEは、CD管理部、AP管理部及び住基APの各モジュールにおける状態を管理し、 コマンドにより各モジュールの状態を遷移させる。 (注釈) 各モジュールは、製造段階、納入、交付、運用段階において異なった状態に あり、その各々の状態において実行可能なコマンドが異なる。各モジュールの状態 はプロセスとして動作中に遷移し、モジュールとして搭載されている非動作時にも 状態は維持される。 (3) コマンド実行制御機能 TOEは、状態遷移の状態に応じて認証されているTOE関係者の役割でコマンドの実 行が可能かどうかを判断し、コマンド実行を制御する。 5.ドメイン分離機能 (1) ドメイン分離機能 TOEは、カードに搭載されるモジュール間が相互に干渉しないようにそれぞれの動 作領域を分離する。 6.データ復元機能 (1) 電源断異常検出機能 TOEは、データの書込み中または消去中に電源断異常が発生したかどうかを起動時 に検査する。もし書込み・消去中に電源断が発生した場合は、下記(2)の障害回復機 能によりデータが回復される。 (2) 障害回復機能 TOEは、書込み・消去処理実行前に、トランザクション処理を開始し、正常終了し た場合にはトランザクション処理中の書込み内容を有効にして終了し、異常終了し た場合には、トランザクション処理中の書込み内容を無効にして終了し、カードを 4 CRP-C0191-01 正常状態に回復する。 【TOEのセキュリティ以外の機能】 1.通信機能 TOEは、実行要求であるコマンドメッセージの受信及び処理結果であるレスポンス メッセージの送信を行う。 2.コマンド解析機能 TOEは、受信したコマンドメッセージを解析し、要求された処理を行う。 3.メモリ制限機能 TOEは、カード上に搭載されたアプリケーションが利用可能なメモリ領域の大きさ を制限する。 1.3 評価の実施 認証機関が運営するITセキュリティ評価・認証プログラムに基づき、公表文書「IT セキュリティ評価及び認証制度の基本規程」[2]、「ITセキュリティ認証申請手続等 に関する規程」[3]、「ITセキュリティ評価機関承認申請手続等に関する規程」[4] に規定された内容に従い、評価機関によってTOEに関わる機能及び保証要件の評価 が実施された。 本評価の目的は、以下のとおりである。 ① 本TOEのセキュリティ設計が適切であること。 ② 本TOEのセキュリティ機能が、セキュリティ設計で記述されたセキュリ ティ機能要件を満たしていること。 ③ 本TOEがセキュリティ設計に基づいて開発されていること。 ④ 上記①、②、③を、CCパート3及びCEMの規定に従って評価すること。 具体的には、評価機関は、本TOEのセキュリティ機能の基本設計である「アダプ タ対応型高速版住基カードソフトウェア セキュリティターゲット」 (以下「ST」と いう。)[1] 及び本TOE開発に関連する評価用提供物件及び本TOEの開発・製造・ 出荷の現場を調査し、本TOEがCCパート1 ([5][8][11]のいずれか) 附属書B、CCパー ト2([6][9][12]のいずれか)の機能要件を満たしていること、また、その根拠とし て、TOEの開発・製造・出荷環境がCCパート3([7][10][13]のいずれか)の保証要 件を満たしていることを評価した。この評価手順及び結果は、「アダプタ対応型高 速版住基カードソフトウェア評価報告書」(以下「評価報告書」という。)[18]に示 されている。なお、評価方法は、CEM([14][15][16]のいずれか)に準拠する。ま た、CC及びCEMの各パートは補足[17]の内容を含む。また本評価においては AVA_MSU.3評価、スマートカード評価のためAIS34[19]、及びCCサポート文書[20] 5 CRP-C0191-01 も参照する。 1.4 評価の認証 認証機関は、評価機関が作成した、評価報告書、所見報告書、及び関連する評価 証拠資料を検証し、本TOE評価が所定の手続きに沿って行われたことを確認した。 認証の過程において発見された問題については、認証レビューを作成した。評価は、 平成20年10月の評価機関による評価報告書の提出をもって完了し、認証機関が指摘 した問題点は、すべて解決され、かつ、本TOE評価がCC及びCEMに照らして適切 に実施されていることを確認した。認証機関は同報告書に基づき本認証報告書を作 成し、認証作業を終了した。 1.5 報告概要 1.5.1 PP適合 適合するPPはない。 1.5.2 EAL STが規定するTOEの評価保証レベルは、EAL4追加である。 追加の保証コンポーネントは、AVA_MSU.3である。 1.5.3 セキュリティ機能強度 STは、最小機能強度として、”SOF-基本”を主張する。本TOEは、個人情報を取 り扱うため安全性を重要視しており、更に全国規模で多くの住民に配られ、本人確 認業務だけでなく、市町村が提供する様々な行政サービスの中で使われる。住基 カードには、正当な役割に関連付けられた利用者を識別・認証する機能が必要であ る。住基カードは個人情報を取り扱うが、金融系のカードのように資産的な価値を 取り扱う訳ではない。 したがって、TOEの認証における安全性を確保する機構に は、低位の攻撃力を持つ攻撃者からの攻撃にも耐えうるSOF-基本が妥当である。 1.5.4 セキュリティ機能 本TOEのセキュリティ機能は、 「1.2.4 TOEの機能」の【TOEのセキュリティ機 能】で示した通りである。 1.5.5 脅威 本TOEは、表1-1に示す脅威を想定し、これに対抗する機能を備える。 6 CRP-C0191-01 住基カードを交付された住民は、そこに格納された住民票コードを基に、市町村 が管理している個人情報(本人確認情報:氏名、生年月日、性別、住所、住民票コー ド、付随情報)へアクセスし、各種の行政サービスを受ける。このような便利なカー ドは、様々な動機を持った人から、以下に示すような様々な攻撃を受けると想定さ れ、カード発行を受けた住民はプライバシー侵害だけでなく、財産的な損害を受け る恐れがある。 表1-1 想定する脅威 識別子 T.Logical_Attack 脅 威 市町村に納入された住基カードは、住基カードの記憶素子 へ、発行市町村データや住民票コード設定、住基カードへ の券面印刷等の工程を経て、市町村から住民に交付され、 利用される。この一連の過程の住基カードに対し、ICカー ドの技術に詳しい攻撃者が、住民基本台帳カード仕様で規 定する論理的インタフェース(コマンド/レスポンス)を悪 用し、利用者データやTSFデータを改ざんしたり、盗んだ りする。 T.Illegal_Term_Use 住民基本台帳ネットワークで使われる業務用端末の操作 に詳しい正規の職員以外の攻撃者が業務用端末を悪用し たり、業務用端末に改造を行ったりして、住基カードとや り取りされるデータへ不正にアクセスし、利用者データや TSFデータを改ざんしたり、盗んだりする。 T.Disturb_APL 住基カードには多くのアプリケーションが存在する。即 ち、本人確認業務アプリケーション、市町村によってロー ドされる市町村独自のアプリケーションである。このよう な複数のアプリケーションが存在する住基カード内で、市 町村独自のアプリケーションが利用者データを改ざんし たり、盗んだりする。 T.Environment 住基カードを使っている時に電源断が発生し、データの書 換えが中断されることがある。その後、再度、住基カード 使おうとした時、住基カード内の利用者データやTSFデー タが正しく書換わっていないことがある。 T.Incomplete 市町村に納入された住基カードが住民に交付されるまで に、様々な利用者データやTSFデータの設定が行われる。 このような利用者データやTSFデータが設定された、交付 前の住基カードを不正に入手した攻撃者が、正規に発行さ 7 CRP-C0191-01 れた住基カードとして、悪用する。 T.Hardware 半導体や暗号の技術に詳しい攻撃者は、以下に述べるハー ドウェア攻撃手段を使いTOEの資産の盗聴や改ざんもし くは秘密(Secret)の推測を行うかも知れない。 ・FIB(Focused Ion Beam) workstation, EBP(Electron Beam Prober), AFM(Automatic Force Microscope)を利 用し、演算回路、記憶素子の物理的改ざん、盗聴(i.e. TOE 自体やTSFデータの改ざん、TSFデータの盗聴) ・ハードウェアの処理状況を分析することで、TSFデータ を推定 ・ICカードを異常な状態で動作させ、その結果を分析し、 TSFデータを推定 1.5.6 組織のセキュリティ方針 TOEの利用に当たって要求される組織のセキュリティ方針を表1-2に示す。 住民基本台帳カード仕様書 第2.3版は、住基カードの仕様書であるが、組織のセ キュリティポリシと捉えるべき記述があるので、それらの要件を以下に引用する。 表1-2 組織のセキュリティ方針 識別子 P.Authentication 組織のセキュリティ方針 [住基仕様23]には、住民票コードの読出条件について、 ポリシ的な記述は無い。しかし、7章 住民カードアプリ ケーション仕様編 表8.9 住基カードAPのセキュリ ティアトリビュート設定から、以下の条件が暗黙的にポ リシとして設定されていると考えられる。 ・PIN(*)による本人認証が終わっていること ・全国センター発行の証明書による市町村認証が終わっ ていること * Personal Identification Number。パスワードに相当 P.Secret_Setting 1章 概要2.3節 住民基本台帳カードの業務要件の(1)に、 「カードに秘密鍵を設定する際に、安全な発行方式を採 用する」との規定があり、TOEの実装に反映する必要が ある。 P.PIN_Initialize 1章 概要2.3節 住民基本台帳カードの業務要件の(3)に、 「パスワード忘却時にカード再利用に資する目的で、暗 証番号初期化の後、利用者の新たなパスワード設定に対 応する方式を採用する」との規定があり、TOEの実装に 反映する必要がある。 8 CRP-C0191-01 P.Secure_Path 7章 住基カードアプリケーション仕様編 3.4 セキュア メッセージング機能について、「セキュアメッセージン グ機能は、ICカードと外部装置との間で授受される APDUを不正な盗聴から保護するための暗号化通信を 行う機能である。住基カードAPにおいて、本機能は住 民票コード読み出し処理において利用される」との規定 があり、TOEの実装に反映する必要がある。 (注釈) APDU(Application Protocol Data Unit)とは、住 基カードとカードリーダ・ライタ間でやり取りされる データの単位で、本STでは、カードリーダ・ライタか ら住基カードへのAPDUをコマンドメッセージ、住基 カードからカードリーダ・ライタへのAPDUをレスポン スメッセージと呼んでいる。 1.5.7 構成条件 TOEの動作環境及びTOE周辺装置の仕様は、以下のとおりである。これらは全て 市町村システムに設置・インストールされる。 <ICチップ> 製造元: 型式: シャープ株式会社 SM4148 ICカードLSI <カードリーダ・ライタ> ISO/IEC 14443及びJIS X 6322に規定される非接触型のインタフェース、または ISO/IEC 7816及びJIS X 6304に規定される接触型のインタフェースを有する カードリーダ・ライタとする。 <アダプタソフトウェア> 住基カードの要求仕様に基づき住基カードの実装に対応して作成されたソフト ウェア <業務ソフトウェア> 要求仕様に基づいた住基カードの動作に見合った対応するように作成されたソ フトウェア 1.5.8 操作環境の前提条件 本TOEを使用する環境において有する前提条件を表1-3に示す。 9 CRP-C0191-01 これらの前提条件が満たされない場合、本TOEのセキュリティ機能が有効に動作 することは保証されない。 表1-3 TOE使用の前提条件 識別子 前提条件 A.CARD_SET_Data TOEがカード所有者に渡されるまでに、カード発行者また はAP搭載管理者である市町村は、利用者データや認証デー タ及びTOEの動作で必要となる情報を、TOEに設定する。 それらのデータは人的側面において、市町村の責任で安全 な値が指定され、教育と訓練を受けた職員により正しく設 定され、安全に管理されるものとする。また、物理的側面 として、TSFデータの設定/利用時には、TSFデータを安全 に管理できるIT装置(カードリーダ・ライタや業務用端末) を市町村は調達し、市町村の安全な環境で使用するものと する。また、カード所有者である住民は、推測されにくい 適切なPINを設定するものとする。 1.5.9 製品添付ドキュメント 本TOEに添付されるドキュメントを以下に示す。 表1-4 ガイダンス文書一覧 名称 識別 Ver アダプタ対応型住基カードソフトウェア ガイダンス統括文書 GD_ALL 第 1.10 版 アダプタ対応型住基カードソフトウェア AP 搭載管理者ガイダンス文書 GD_APM 第 1.10 版 アダプタ対応型住基カードソフトウェア CM 部 取扱説明書 GD_CM 第 1.12 版 アダプタ対応型住基カードソフトウェア カード発行者ガイダンス文書 GD_ISS 第 1.12 版 アダプタ対応型住基カードソフトウェア 住基 AP 部 取扱説明書 GD_JAP 第 1.11 版 アダプタ対応型住基カードソフトウェア 住基 CD 部 取扱説明書 GD_JCD 第 1.11 版 IC カード内蔵ソフトウェア AP 実行環境取扱説明書(AP 実行環境 Ver. APE_GD 第 1.2.0 版 APE_GD_S 第 1.3.0 版 2.517dR 対応版・システム開発者向け) SM4148 AP 実行環境(APE)セキュリティガイダンス 10 CRP-C0191-01 2 評価機関による評価実施及び結果 2.1 評価方法 評価は、CCパート3の保証要件について、CEMに規定された評価方法を用いて行 われた。評価作業の詳細は、評価報告書において報告されている。評価報告書では、 本TOEの概要説明、CEMのワークユニットごとに評価した内容及び判断が記載さ れている。 2.2 評価実施概要 以下、評価報告書による評価実施の履歴を示す。 評価は、平成19年8月に始まり、平成20年10月評価報告書の完成をもって完了し た。評価機関は、開発者から評価に要する評価用提供物件一式の提供を受け、一連 の評価における証拠を調査した。また、平成19年10月∼平成20年7月に6回に分け て開発・製造現場へ赴き、記録及びスタッフへのヒアリングにより、構成管理・配 付と運用・ライフサイクルの各ワークユニットに関するプロセスの施行状況の調査 を行った。また、平成20年5月及び8月に開発者サイトで開発者のテスト環境及び評 価機関のテスト環境を使用し、開発者が実施したテストのサンプリングチェック及 び評価者テストを実施した。 各ワークユニットの評価作業中に発見された問題点は、すべて所見報告書として 発行され、開発者に報告された。それらの問題点は、開発者による見直しが行われ、 最終的に、すべての問題点が解決されている。 また、評価の過程で認証機関による問題点の指摘として認証レビューが評価機関 へ渡された。これらは評価機関及び開発者による検討ののち、評価に反映されてい る。 2.3 製品テスト 評価者が評価した開発者テスト及び評価者の実施した評価者テストの概要を以 下に示す。 2.3.1 開発者テスト 1) 開発者テスト環境 TOEはシャープ株式会社及び日本電信電話株式会社により開発(APEは シャープ株式会社により開発、ライブラリ、CD管理部、AP管理部及び住基AP は日本電信電話株式会社により開発)されており、テストも両社により自社開発 部分を各々実施している。日本電信電話株式会社により実施されたテストの構成 11 CRP-C0191-01 は以下の通りである。 表2-1 テスト構成(日本電信電話株式会社) 機器 主な仕様 IC カードリーダライタ 非接触 SCR331DI-NTTCom 型 USB タイプ NTT コミュニケーションズ株式会社 テスト用 PC Windows2000、または Windows XP IC カード(チップ含む) IC チップ形式:SM4148 IC カード LSI ソフトウェア 主な仕様 Smart Card Simulator Version 4.0.1 シャープ株式会社 Fsp 1.7.8 NTT エレクトロニクス株式会社 シャープ株式会社により実施されたテストの構成は以下のとおりである。 表2-2 テスト構成(シャープ株式会社) 機器 主な仕様 端末 PC AT 互換機 エバボード エバボード(シャープ製) ICE ROMICE64(コンピューテックス製) プロトコルアナライザ LE-7200 LINE EYE 製 プロトコル評価ツール MP300(MICROPROSS 製) 非接触 R/W EVPCD7010(IC カードデバッグ用) PD8080 (大和電機)、PD2002 (大和電機) 接触型 R/W RW4040 (シャープ株式会社) SCR331 IC カード LSI NTT コミュニケーションズ株式会社 SM4148 ソフトウェア 主な仕様 端末 PC 用 OS Windows2000、WindowsXP ROMICE 用ソフトウェア CSIDE for ROMICE64 MK5 v3.31(コンピューテックス製) AP/LIB Downloader 2.0.0.0 シャープ株式会社 12 CRP-C0191-01 MP300 用ソフトウェア MPScope v1.12.0(MICROPROSS 製) 2) 開発者テスト概説 開発者の実施したテストの概要は以下のとおり。 a. テスト構成 開発者が実施したテストの構成は表2-1、表2-2に示されたとおりである。 開発者テストは、STにおいて識別されているTOE構成と一部異なるTOEテ スト環境で実施されている(例えばICチップでは任意のタイミングで電源断 を発生できないため、ICチップの代わりにSmart Card Simulatorを用い電 源断のテストを実施等)。しかしながらその差異は評価者によって分析され、 テスト結果に影響を及ぼさないことが確認されている。 b. テスト手法 日本電信電話株式会社のテストとシャープ株式会社では別々のテスト手法 が用いられている。以下の表2-3、表2-4に各自詳細を示す。 表2-3 テスト手法(日本電信電話株式会社) 種類 実カードテスト 手法の概要 ツールを使用して C-APDU をカードに発行し、返送された R-APDU と期待する R-APDU を比 較する。 返送された R-APDU が暗号化されている場合は、R-APDU を復号し、期待する R-APDU と比 較する。 シミュレータ ツールを使用して電源断の状態を発生させ、正しく電源断を復旧する処理が駆動することを、 ツールのステップ実行もしくはブレークポイントの機能を利用して確認する。 ツールを利用してセキュリティ的な攻撃(メモリダンプ、改竄等)し、それを正しく検知し、セキュ リティ対策の処理が駆動することを、ツールのステップ実行もしくはブレークポイントの機能を利 用して確認する。 表2-4 テスト手法(シャープ株式会社) 種類 手法の概要 接触モードでエ 端末 PC 上の自動評価用ソフトを使用し、接触型 R/W を経由して IC カード LSI をシミュレー バボートを使用し トする ROMICE、エバボードに C-APDU を送信、テストを行う。メモリの値を目視で確認す たテスト環境 る。 エバボードは、IC カードの機能の代わりをする。ROMIICE からエバボードの内部メモリにア クセスすることで、IC カードではアクセスできない内部 RAM 情報にアクセスできる。 13 CRP-C0191-01 種類 手法の概要 非接触モードで 端末 PC 上の自動評価用ソフトを使用し、非接触 IC カードデバッグ用 R/W を経由して IC エバボードを使用 カード LSI をシミュレートする ROMICE、エバボードに C-APDU を送信、テストを行う。メモリ したテスト環境 の値を目視で確認する。 エバボードは、IC カードの機能の代わりをする。ROMIICE からエバボードの内部メモリにア クセスすることで、IC カードではアクセスできない内部 RAM 情報にアクセスできる。 接触モードにお 端末 PC 上の自動評価用ソフトを使用し、接触型 R/W を経由して IC カードに C-APDU を ける実 IC カードを 送信、テストを行う。自動評価ソフトを使用し、C-APDU を送信、受信した R-APDU が期待値 使用したテスト環 と一致するか自動比較する。さらに、比較結果のログを取得し、エラーが 0 であることを確認 境 する。 本テスト環境は、IC カードと R/W の通常の接続状態におけるテストを行う。端末 PC からのコ マンドは、接触型 R/W を経由して IC カードに送信される。 非接触モードに 端末 PC 上の自動評価用ソフトを使用し、非接触型 R/W を経由して IC カードに C-APDU おける実 IC カー を送信、テストを行う。自動評価ソフトを使用し、C-APDU を送信、受信した R-APDU が期待 ドを使用したテス 値と一致するか自動比較する。さらに、比較結果のログを取得し、エラーが 0 であることを確 ト環境 認する。 本テスト環境は、IC カードと R/W の通常の接続状態におけるテストを行う。端末 PC からのコ マンドは、非接触型 R/W を経由して IC カードに送信される。 c. 実施テストの範囲 テストは日本電信電話株式会社によって計907項目、シャープ株式会社に よって計2158項目実施されている。 カバレージ分析が実施され、機能仕様に記述されたすべてのセキュリティ 機能と外部インタフェースが十分にテストされたことが検証されている。深 さ分析が実施され、上位レベル設計に記述されたすべてのサブシステムとサ ブシステムインタフェースが十分にテストされたことが検証されている。 d. 結果 開発者によるテスト結果は、期待されるテスト結果と実際のテスト結果が 一致していることを確認している。評価者は、開発者テストの実施方法、実 施項目の正当性を確認し、実施方法及び実施結果がテスト計画書に示された ものと一致することを確認した。 2.3.2 評価者テスト 1) 評価者テスト環境 評価者が実施したテスト(評価者独立テスト、侵入テスト)の構成は、評価者 独立テストにおいては開発者テストと同等の構成である。侵入テストにおいては 14 CRP-C0191-01 オシロスコープ等の付加的なテスト機器を用いてテストを実施している。詳細は 下記の2)を参照のこと。 2) 評価者テスト概説 評価者の実施したテスト(評価者独立テスト、侵入テスト)の概要は以下のと おり。 a-1. 評価者独立テスト構成 上記「2.3.1 2) 開発者テスト概説 a. テスト構成」で示したとおり、評価者が 実施したテストの構成はSTの構成と一部異なるが、その差異はテストに影響 しないことは評価者により検証済みである。 a-2. 侵入テスト構成 評価者独立テストのテスト構成に加え、テストパターンにより以下の3種類の テスト機器を電力解析のため使用している。 表2-5 テスト機器1 表2-6 テスト機器2 15 CRP-C0191-01 表2-7 テスト機器3 b-1. 評価者独立テスト手法 「2.3.1 2) 開発者テスト概説 a. テスト構成」と同様である。 b-1. 侵入テスト手法 評価者独立テストと同様の手法に加え、「2) 評価者テスト概説 a-2. 侵入 テスト構成」で示した機器を用い、電力解析(SPA/DPA)を実施しTOE のPINや暗号化鍵の解読を試みている。 c. 実施テストの範囲 日本電信電話株式会社開発分においては、評価者独立テストを106項目、侵 入テストを15項目、開発者テストのサンプリングによるテストを313項目、 計434項目のテストを実施した。サンプリングテストは、セキュリティ機能全 てをカバーするように開発者テストの約34.4%をサンプリングし後追い検証 している。評価者独立テスト項目の選択基準としては、開発者自体が限界値 分析、及びその限界値での全ペアテストを実施しているため評価者が独自に 考えうる有用なテスト項目の余地は少ない。しかしながらAP管理部とCD管 理部/住基APにおいてテスト担当者が異なり、テスト項目も各自に考案してい るため、AP管理部とCD管理部/住基APに跨るテストが開発者において実施さ れていない。従って評価者はそこに着目し、AP管理部とCD管理部/住基APに 跨る状態遷移に関連する独立テストを実施している。更に評価者は開発者が 実施していないパラメタ値においても併せて独立テストを実施している。侵 入テストにおいては、開発者の脆弱性分析の正当性を確認するために攻撃者 が一般的に実施するコマンドスキャン等、及びCCサポート文書に記載された 脆弱性の観点からの侵入テスト(例えばRSAのSPAに対する侵入テスト)を 実施している。評価者は事前に論文、書籍、インターネットの公知のスマー トカード脆弱性情報を調査し、それらの情報がCCサポート文書に集約されて いることを検証しており、従って現状のスマートカードの脆弱性の観点は全 て考慮されていると言える。 16 CRP-C0191-01 シャープ株式会社開発分においては、評価者独立テストを12項目、侵入テ ストを5項目、開発者テストのサンプリングによるテストを505項目、計522 項目のテストを実施した。サンプリングテストは、セキュリティ機能全てを カバーするように開発者テストの約23.4%をサンプリングし後追い検証して いる。評価者独立テスト項目の選択基準としては、日本電信電話株式会社開 発分同様開発者自身により網羅的なテストが実施されているため、評価者が 独自に考えうる有用なテスト項目の余地は少ない。そのため評価者は開発者 が実施していないパラメタ値に焦点を絞り、尚且つAPEの全てのセキュリ ティ機能をカバーしつつ評価者独立テストを実施している。侵入テストにお いては、開発者の脆弱性分析の正当性を確認するために攻撃者が一般的に実 施するコマンドスキャン等、及びCCサポート文書に記載された脆弱性の観点 からの侵入テスト(APEにおいてはバッファオーバフローのみ)を実施して いる。その他の観点は日本電信電話株式会社開発分で実施している。評価者 は事前に論文、書籍、インターネットの公知のスマートカード脆弱性情報を 調査し、それらの情報がCCサポート文書に集約されていることを検証してお り、従って現状のスマートカードの脆弱性の観点は全て考慮されていると言 える。 d. 結果 実施したすべての評価者テストは正しく完了し、TOEのふるまいを確認す ることができた。評価者はすべてのテスト結果は期待されるふるまいと一致 していることを確認した。 2.4 評価結果 評価報告書をもって、評価者は本TOEがCEMのワークユニットすべてを満たし ていると判断した。 17 CRP-C0191-01 3 認証実施 認証機関は、評価の過程で評価機関より提出される各資料をもとに、以下の認証 を実施した。 ① 当該所見報告書でなされた指摘内容が妥当であること。 ② 当該所見報告書でなされた指摘内容が正しく反映されていること。 ③ 提出された証拠資料をサンプリングし、その内容を検査し、関連するワーク ユニットが評価報告書で示されたように評価されていること。 ④ 評価報告書に示された評価者の評価判断の根拠が妥当であること。 ⑤ 評価報告書に示された評価者の評価方法がCEMに適合していること。 これらの認証において発見された問題事項を、認証レビューとして作成し、評価 機関に送付した。 認証機関は、ST及び評価報告書において、所見報告書及び認証レビューで指摘さ れた問題点が解決されていることを確認した。 18 CRP-C0191-01 4 結論 4.1 認証結果 提出された評価報告書、当該所見報告書及び関連する評価証拠資料を検証した結 果、認証機関は、本TOEがCCパート3のEAL4及び保証コンポーネントAVA_MSU.3 に対する保証要件を満たしていることを確認した。 評価機関の実施した各評価者エレメントについての検証結果を表4-1にまとめる。 表4-1 評価者アクションエレメント検証結果 評価者アクションエレメント セキュリティターゲット評価 ASE_DES.1.1E 検証結果 適切な評価が実施された。 評価はワークユニットに沿って行われ、TOE識別、境界の 記述が明瞭であることを確認している。 ASE_DES.1.2E 評価はワークユニットに沿って行われ、TOE記述が理路整 然とし一貫していることを確認している。 ASE_DES.1.3E 評価はワークユニットに沿って行われ、TOE記述がST全 体の内容と一貫していることを確認している。 ASE_ENV.1.1E 評価はワークユニットに沿って行われ、TOEのセキュリ ティ環境の記述が前提条件、脅威、組織のセキュリティ方針 を漏れなく識別していることを確認している。 ASE_ENV.1.2E 評価はワークユニットに沿って行われ、TOEのセキュリ ティ環境の記述が理路整然とし一貫していることを確認し ている。 ASE_INT.1.1E 評価はワークユニットに沿って行われ、ST及びTOEの識 別、概要及びCC適合が明確に述べられていることを確認し ている。 ASE_INT.1.2E 評価はワークユニットに沿って行われ、ST概説の記述が理 路整然とし一貫していることを確認している。 ASE_INT.1.3E 評価はワークユニットに沿って行われ、ST概説の記述が ST全体の内容と一貫していることを確認している。 19 CRP-C0191-01 ASE_OBJ.1.1E 評価はワークユニットに沿って行われ、セキュリティ対策 方針の記述にTOE及び環境のセキュリティ対策方針が、脅 威、組織のセキュリティ方針、前提条件のいずれかへ遡れ、 その対策方針の正当性をセキュリティ対策方針根拠が示し ていることを確認している。 ASE_OBJ.1.2E 評価はワークユニットに沿って行われ、セキュリティ対策 方針の記述が完全で、理路整然としていて、かつ一貫してい ることを確認している。 ASE_PPC.1.1E 評価はワークユニットに沿って行われ、PP主張が行われ ていないため非適用であることを確認している。 ASE_PPC.1.2E 評価はワークユニットに沿って行われ、PP主張が行われ ていないため非適用であることを確認している。 ASE_REQ.1.1E 評価はワークユニットに沿って行われ、TOE及びIT環境の 要件の記述、操作がCCに準拠していること、要件の依存性、 機能強度が適切であること、各要件がそれぞれの対策方針に 遡れ、それらを満たす根拠が示されていること、要件のセッ トが内部的に一貫し、相互サポート可能な構造となっている ことを根拠が示していることを確認している。 ASE_REQ.1.2E 評価はワークユニットに沿って行われ、ITセキュリティ要 件の記述が完全で、理路整然としていて、かつ一貫している ことを確認している。 ASE_SRE.1.1E 評価はワークユニットに沿って行われ、CCを参照せずに 明示された要件はないため非適用であることを確認してい る。 ASE_SRE.1.2E 評価はワークユニットに沿って行われ、CCを参照せずに 明示された要件はないため非適用であることを確認してい る。 ASE_TSS.1.1E 評価はワークユニットに沿って行われ、TOE要約仕様の記 述が適切なセキュリティ機能及び保証手段を示しているこ と、それらが機能要件や保証要件を満たす根拠が示されてい ること、ITセキュリティ機能に対する機能強度主張が機能要 件に対する機能強度と一貫していることを確認している。 20 CRP-C0191-01 ASE_TSS.1.2E 評価はワークユニットに沿って行われ、TOE要約仕様の記 述が完全で、理路整然としていて、かつ一貫していることを 確認している。 構成管理 ACM_AUT.1.1E 適切な評価が実施された 評価はワークユニットに沿って行われ、CMシステムが人 為的誤りまたは怠慢による影響を受けないように、実装表現 に対する変更が自動化ツールのサポートにより制御されて いることを確認している。 ACM_AUT.1.1D 評価はワークユニットに沿って行われ、CM計画に記述さ れている自動化ツールと手順が使用されていることを確認 している。 ACM_CAP.4.1E 評価はワークユニットに沿って行われ、TOEとその構成要 素が一意に識別され、TOEになされる変更の管理・追跡が可 能な手続きが妥当であり正しく運用されていることを確認 している。 ACM_SCP.2.1E 評価はワークユニットに沿って行われ、構成要素リストが CCによって要求される一連の要素を含んでいることを確認 している。 配付と運用 ADO_DEL.2.1E 適切な評価が実施された 評価はワークユニットに沿って行われ、TOE配付について セキュリティ維持のために必要な手続きが規定され、実施さ れていることを確認している。 ADO_DEL.2.2D 評価はワークユニットに沿って行われ、実際に配付手続き が使用されていることを、実地検査により確認している。 ADO_IGS.1.1E 評価はワークユニットに沿って行われ、TOEがセキュアに セットアップされるための手順が提供されていることを確 認している。 ADO_IGS.1.2E 評価はワークユニットに沿って行われ、ADO_IGS.1.1Eに て提供されたセットアップの手順がセキュアであることを 確認している。 開発 適切な評価が実施された 21 CRP-C0191-01 ADV_FSP.2.1E 評価はワークユニットに沿って行われ、明確かつ矛盾なく 機能仕様が記述され、そこにすべての外部セキュリティ機能 インタフェースとそのふるまいが適切に記述されているこ と、機能仕様にTSFが完全に表現されていること、機能仕様 がTSFを完全に表現している論拠を含んでいることを確認 している。 ADV_FSP.2.2E 評価はワークユニットに沿って行われ、機能仕様がTOEセ キュリティ機能要件の完全かつ正確な具体化であることを 確認している。 ADV_HLD.2.1E 評価はワークユニットに沿って行われ、上位レベル設計が 明確で矛盾のないこと、サブシステムを規定しそのセキュリ ティ機能を記述していること、TSF実現に必要なIT環境とし てのハードウェア、ファームウェアを説明していること、 TSFサブシステムの外部とその他のインタフェースが識別 され、それらの詳細を記述していることを確認している。 ADV_HLD.2.2E 評価はワークユニットに沿って行われ、上位レベル設計が TOEセキュリティ機能要件の正確かつ完全な具体化である ことを確認している。 ADV_IMP.1.1E 評価はワークユニットに沿って行われ、実装表現がTSFを 作成できる詳細レベルでTSFを明確に定義していること、開 発者の提供した実装表現が十分足るものであること、それが 内部的に一貫していることを確認している。 ADV_IMP.1.2E 評価はワークユニットに沿って行われ、実装表現のサブ セットがその関連するTOEセキュリティ機能要件を正しく 具体化したものであることを確認している。 ADV_LLD.1.1E 評価はワークユニットに沿って行われ、下位レベル設計が 必要な説明情報を含み、内部的に一貫していること、モ ジュールの観点から記述されており、各モジュールの目的を 記述していること、提供されるセキュリティ機能という観点 でモジュール間の相互関係と依存性を定義していること、 TSP実施機能の提供方法を記述していること、TSFモジュー ルのインタフェースと外部インタフェースを識別している こと、各モジュールの使用法と目的を記述していること、そ してTSP実施モジュールとその他に区別できることを確認 している。 22 CRP-C0191-01 ADV_LLD.1.2E 評価はワークユニットに沿って行われ、下位レベル設計が TOEセキュリティ機能要件の正確かつ完全な具体化である ことを確認している。 ADV_RCR.1.1E 評価はワークユニットに沿って行われ、機能仕様がTOEセ キュリティ機能の正しく完全な表現であり、上位レベル設計 が機能仕様の正しく完全な表現であり、下位レベル設計が上 位レベル設計の正しく完全な表現であることを、それらの対 応分析により確認している。 ADV_SPM.1.1E 評価はワークユニットに沿って行われ、セキュリティ方針 モデルが非形式的でありSTにおいて明示的方針をもたない こと、ST中のセキュリティ機能要件で表されたすべてのセ キュリティ方針がモデル化されていること、セキュリティ方 針モデルの規則や特性がモデル化されたTOEのセキュリ ティふるまいを明確に表していること、モデル化されたふる まいがセキュリティ方針と一貫し完全であること、セキュリ ティ方針を実装している機能仕様にてすべてのセキュリ ティ機能を識別していること、機能仕様の内容とセキュリ ティ方針モデルの実装として識別された機能の内容が一貫 していることを確認している。 ガイダンス文書 AGD_ADM.1.1E 適切な評価が実施された 評価はワークユニットに沿って行われ、管理者ガイダンス がTOEのセキュアな運用に必要な管理機能、権限、利用条件 とセキュアな状態維持のための適切なセキュリティパラメ タ、管理が必要となる事象と対処法を記述してあること、他 の証拠資料と一貫しておりIT環境に対するセキュリティ要 件を記述してあることを確認している。 AGD_USR.1.1E 評価はワークユニットに沿って行われ、利用者ガイダンス がTOEの管理者でない利用者が利用可能なセキュリティ機 能やユーザインタフェース、セキュリティ機能の使用法、対 応すべき機能や特権に関する警告、TOEのセキュアな操作に 必要なすべての利用者責任が記述してあり、他の証拠資料と 一貫しておりIT環境に対するセキュリティ要件を記述して あることを確認している。 ライフサイクルサポート 適切な評価が実施された 23 CRP-C0191-01 ALC_DVS.1.1E 評価はワークユニットに沿って行われ、開発セキュリティ 証拠資料がTOE開発環境のセキュア維持のための手段を記 述しており、それが十分であること、その手段を実施した記 録が生成されることを確認している。 ALC_DVS.1.2E 評価はワークユニットに沿って行われ、ALC_DVS.1.1Eで 確認したセキュリティ手段が実施されていることを確認し ている。また、本評価時に行われたサイト訪問での調査方法 も適切と判断される。 ALC_LCD.1.1E 評価はワークユニットに沿って行われ、使用されたライフ サイクルモデルが開発者と保守手続きをカバーしており、そ の記述にある手続き、ツール、技法の使用が開発と保守に貢 献していることを確認している。 ALC_TAT.1.1E 評価はワークユニットに沿って行われ、開発ツール証拠資 料が明確であり、実装に用いられた開発ツールのステートメ ント及び実装依存オプションの意図を明確に定義している ことを確認している。 テスト ATE_COV.2.1E 適切な評価が実施された 評価はワークユニットに沿って行われ、テスト証拠資料に 識別されているテストが機能仕様に正確かつ完全に対応し ていること、テスト計画に示されたテスト手法がセキュリ ティ機能の検証に適切であること、テスト手順に示されるテ スト条件、手順、期待される結果が各セキュリティ機能を適 切にテストするものであることを確認している。 ATE_DPT.1.1E 評価はワークユニットに沿って行われ、テスト証拠資料に 識別されているテストが上位レベル設計に正確かつ完全に 対応していること、テスト計画に示されたテスト手法がセ キュリティ機能の検証に適切であること、テスト手順に示さ れるテスト条件、手順、期待される結果が各セキュリティ機 能を適切にテストするものであることを確認している。 24 CRP-C0191-01 ATE_FUN.1.1E 評価はワークユニットに沿って行われ、テスト証拠資料が テスト計画、手順、期待される結果及び実際の結果を含み、 テスト計画が目的を記述しセキュリティ機能を識別し、ST 及びテスト手順記述と一貫していること、テスト手順記述が テストするセキュリティ機能のふるまいを識別しており再 現可能な記述であること、テスト証拠資料が期待されるテス ト結果を含んでおりそれらが実施結果と一致していること を確認し、開発者のテスト成果を報告している。 ATE_IND.2.1E 評価はワークユニットに沿って行われ、テスト構成がST の記述と一貫し、TOEが正しく設定され、開発者テストと同 等の資源が提供されていることを確認している。 ATE_IND.2.2E 評価はワークユニットに沿って行われ、テストサブセット とその証拠資料を作成し実施している。実施したテスト内容 を記述し、結果が期待されるべき結果と一貫していることを 確認している。また、本評価時に行われたテスト実施方法も 適切と判断される。 ATE_IND.2.3E 評価はワークユニットに沿って行われ、サンプリングテス トを実施し、結果が期待されるべき結果と一貫していること を確認している。また、本評価のサンプリング方針及びテス ト実施方法も適切と判断される。 脆弱性評定 AVA_MSU.3.1E 適切な評価が実施された 評価はワークユニットに沿って行われ、提供されたガイダ ンスがTOEのセキュアな運用に必要な情報を矛盾なく完全 に記述していること、使用環境の前提事項、TOE以外のセ キュリティ事項の要件がすべて明記されていること、ガイダ ンスの完全性を保証する手段を開発者が講じていることを 確認している。 AVA_MSU.3.2E 評価はワークユニットに沿って行われ、提供されたガイダ ンスの管理者と利用者手続き、あるいはその他の手続き情報 のみで、TOEを構成でき、TOEのセキュアな運用に関わる 設定が行えることを確認している。 AVA_MSU.3.3E 評価はワークユニットに沿って行われ、提供されたガイダ ンスが、TOEが非セキュアな状態に陥ったことを検出する手 段及び対処方法を記述していることを確認している。 25 CRP-C0191-01 AVA_MSU.3.4E 評価はワークユニットに沿って行われ、提供されたガイダ ンスが、TOEの全ての操作モードにおいてのセキュアな操作 を提供していることを確認している。 AVA_MSU.3.5E 評価はワークユニットに沿って行われ、提供されたガイダ ンスが、TOEが非セキュアな状態に陥ったことを検出する手 段及び対処方法を記述していることを独自にテストを実施 し確認している。 AVA_SOF.1.1E 評価はワークユニットに沿って行われ、STでSOF主張が なされているセキュリティメカニズムに対して、正当なSOF 分析が行われ、SOF主張が満たされていることを確認してい る。 AVA_SOF.1.2E 評価はワークユニットに沿って行われ、すべての確率的ま たは順列的メカニズムがSOF主張を持ち、そのSOF主張が正 しいことを確認している。 AVA_VLA.2.1E 評価はワークユニットに沿って行われ、脆弱性分析が脆弱 性に関する情報を考慮していること、識別された脆弱性につ いて悪用されない根拠とともに記述していること、脆弱性分 析がSTやガイダンスの記述と一貫していることを確認して いる。 AVA_VLA.2.2E 評価はワークユニットに沿って行われ、侵入テストとそれ を再現可能な詳細を持つ侵入テスト証拠資料を作成しテス トを実施している。実施したテスト結果とテスト概要につい て報告がなされている。 AVA_VLA.2.3E 評価はワークユニットに沿って行われ、開発者がまだ扱っ ていない脆弱性の可能性を検査している。 AVA_VLA.2.4E 評価はワークユニットに沿って行われ、独立脆弱性分析に 基づく侵入テストとそれを再現可能な詳細を持つ侵入テス ト証拠資料を作成しテストを実施している。実施したテスト 結果とテストの概要について報告がなされている。 AVA_VLA.2.5E 評価はワークユニットに沿って行われ、意図する環境にお いてTOEが低い攻撃力に対抗できることを侵入テストと脆 弱性分析の結果から検査し、悪用され得る脆弱性及び残存脆 弱性が存在しないことが報告されている。 26 CRP-C0191-01 4.2 注意事項 特になし。 27 CRP-C0191-01 5 用語 本報告書で使用された略語を以下に示す。 CC Common Criteria for Information Technology Security Evaluation CEM Common Methodology for Information Technology Security Evaluation EAL Evaluation Assurance Level PP Protection Profile SOF Strength of Function ST Security Target TOE Target of Evaluation TSF TOE Security Functions APDU Application Protocol Data Unit 本報告書で使用されたTOE特有の略語を以下に示す。 住基カード 住民基本台帳用ICカード 住基ネット 住民基本台帳ネットワークシステム CD カードドメイン(Card Domain)、カードに一つだけ存在し、カー ド発行者が管理する領域。 AP アプリケーション、ここではカードに搭載されるプログラムを表 す。カードに複数存在し、発行後のカードに搭載が可能である。 SD セキュリティドメイン、カードに搭載されるAPを管理する領域。 製造者 TOEをカードに搭載し、発行市町村へカードを納入する役割で、 製造ベンダに対応する。 発行者 TOEの搭載されたカードを発行する役割で、市町村に対応する。 所有者 TOEの搭載されたカードの交付を受けてカードを所有する役割 で、住民に対応する。 APE アプリケーション実行環境、チップに搭載されるAPのドメイン 分離を管理する。 CD管理部 CDのセキュリティに関する設定を管理する。 AP管理部 カードにロードして搭載されるAPを管理する。 住基AP 住基カードAP、住基カード用の市町村業務のためのAP アダプタ 業務用端末上で動作するソフトウェアで、住基仕様で規定された インタフェースに基づき、住基カードの実装に対応したコマンド メッセージを生成する。製造者毎に異なる住基カードの実装の差 28 CRP-C0191-01 を吸収して共通のインタフェースで住基カードを利用できるよ うにするソフトウェアであり、業務ソフトウェアから呼び出され る。 モジュール カード上に搭載されたソフトウェアのプログラム単位での構成 要素である。 プロセス カード上に存在するモジュールがサブジェクトとして動作して いる状態である。 APDU 端末とICカードで取り交わされるデータ(コマンド・レスポンス) C-APDU コマンドAPDU。端末よりICカードに発行されるAPDU。 R-APDU レスポンスAPDU。C-APDUに対しICカードが応答するAPDU。 ROMICE インサーキットエミュレータ。ボード上のROMを代替しデバッ ク等を行う製品。 エバボード Evaluation Board。評価用の基板。 29 CRP-C0191-01 参照 6 [1] アダプタ対応型高速版住基カードソフトウェア セキュリティターゲット バー ジョン 1.92(2008年10月10日)日本電信電話株式会社 [2] ITセキュリティ評価及び認証制度の基本規程 処理推進機構 [3] [4] 平成19年5月 独立行政法人 情報 CCM-02 ITセキュリティ評価機関承認申請手続等に関する規程 法人 情報処理推進機構 [5] 独立行政法人 情報 CCS-01 ITセキュリティ認証申請手続等に関する規程 処理推進機構 平成19年5月 平成19年5月 独立行政 CCM-03 Common Criteria for Information Technology Security Evaluation Part1: Introduction and general model Version 2.3 August 2005 CCMB-2005-08-001 [6] Common Criteria for Information Technology Security Evaluation Part2: Security functional requirements Version 2.3 August 2005 CCMB-2005-08-002 [7] Common Criteria for Information Technology Security Evaluation Part3: Security assurance requirements Version 2.3 August 2005 CCMB-2005-08-003 [8] 情報技術セキュリティ評価のためのコモンクライテリア パート1: 概説と一般モ デル バージョン2.3 2005年8月 CCMB-2005-08-001 (平成17年12月翻訳第1.0 版) [9] 情報技術セキュリティ評価のためのコモンクライテリア パート2: セキュリティ 機能要件 バージョン2.3 2005年8月 CCMB-2005-08-002 (平成17年12月翻訳第 1.0版) [10] 情報技術セキュリティ評価のためのコモンクライテリア パート3: セキュリティ 保証要件 バージョン2.3 2005年8月 CCMB-2005-08-003 (平成17年12月翻訳第 1.0版) [11] ISO/IEC 15408-1:2005 Information technology - Security techniques Evaluation criteria for IT security - Part 1: Introduction and general model [12] ISO/IEC 15408-2:2005 Information technology - Security techniques Evaluation criteria for IT security - Part 2: Security functional requirements [13] ISO/IEC 15408-3:2005 Information technology - Security techniques Evaluation criteria for IT security - Part 3: Security assurance requirements [14] Common Methodology for Information Technology Security Evaluation : Evaluation Methodology Version 2.3 August 2005 CCMB-2005-08-004 [15] 情報技術セキュリティ評価のための共通方法: 評価方法 バージョン2.3 2005年8 月 (平成17年12月翻訳第1.0版) [16] ISO/IEC 18045:2005 Information technology - Security techniques Methodology for IT security evaluation [17] 補足-0512 平成17年12月 [18] アダプタ対応型高速版住基カードソフトウェア評価報告書 第2.1版 2008年10月 30 CRP-C0191-01 17日 株式会社電子商取引安全技術研究所 評価センター [19] Application Notes and Interpretation of the Scheme, Evaluation Methodology for CC Assurance Classes for EAL5+, Version 1.0, 01 June 2004, Certification body of the BSI [20] Supporting Document Mandatory Technical Document Application of Attack Potential to Smartcards Version 2.3 31
